© 2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Cláudio Freire Júnior, Solutions Architect

21/Junho/2016

Criando e ConectandoSeu Datacenter Virtual

O que é esperado nessa sessão?

• Overview sobre AWS;

• Conceitos de VPC;

• Setup básico de VPC;

• Conectividade com ambiente on-premises;

• Monitoramento do tráfego VPC;

O que é a AWS?

AWS provê uma plataforma de infraestrutura na nuvem altamente

confiável, escalável e de baixo custo que possibilita grandes ganhos para

mais de 1 milhão de empresas em 190 países ao redor do mundo.

Benefícios

• Baixo custo

• Elasticidade e Agilidade

• Plataforma aberta e flexível

• Segurança

• Alcance global

10o AniversárioLançada em 14 de Março, 2006

Infraestrutura Global

E então, o que é VPC?

• VPC – Virtual Private Cloud;

• Isolamento lógico de rede;

• Permite a segregação de redes (Público e Privada);

• Serviço de escopo de região;

• Permite a escolha do seu proprio range de Ips;

• Provê conexão com infraestrutura on-premises;

172.31.0.128

172.31.0.129

172.31.1.24

172.31.1.27

54.4.5.6

54.2.3.4

VPC

Criando VPC

Criando VPC: Passo a Passo

Escolher o range de

IPs

Configurar subnets

nas Availability

Zones

Criar rota para

Internet

Autorizar tráfego

de/para VPC

Escolher o range de IPs

Notação CIDR

CIDR range example:

172.31.0.0/16 ~ Máscara: 255.255.0.0

172.31.0.0-172.31.255.255

Escolher os ranges para sua VPC

172.31.0.0/16

Recomendado:

RFC1918

Recomendado:

/16

(64K endereços)

Configurar subnets nas

Availability Zones

Configurar ranges de IP address para sua

subnet

172.31.0.0/16

Availability Zone Availability Zone Availability Zone

VPC subnet VPC subnet VPC subnet

172.31.0.0/24 172.31.1.0/24 172.31.2.0/24

sa-east-1a sa-east-1b sa-east-1c

DemoCriação de VPC e

subnets

Criar rotas para Internet

Rotas na sua VPC

• Tabelas de rotas possuem regras por

onde os pacotes trafegarão;

• Sua VPC possui tabela de rotas padrão;

• … você pode designar tabelas de rotas

diferentes para subnets diferentes.

Tráfego destinado para

VPC ficam na VPC.

Internet Gateway

Componente para envio de

pacote, se o destino for

Internet.

Tudo que não tem destino para VPC, é

enviado para Internet.

Autorizar tráfego de/para VPC

Network ACLs = Regras stateless firewall

Permitir todo o tráfego de entrada

Aplicado no nível de subnet

Security Groups segue o fluxo da sua

aplicação

“MyWebServers” Security Group

“MyBackends” Security Group

Permitir acesso somente

“MyWebServers”

Security Groups = stateful firewall

Porta 80 aberta para o mundo

Security Groups = stateful firewall

Porta do App Server aberta somente

para frota de Web

DemoCriação de Internet

Gateway/NAT e Security

Groups

Conectividade na AWS

Além da conectividade com Internet

Formas de roteamento

de Subnet

Conectando com a

sua rede corporativa

Conectando a outras

VPCs

Roteamento no nível de subnets

Differentes tabelas de rotas para diferentes

subnets

VPC subnet

VPC subnet

Possui rota para Internet

Não possui rota para

Internet

Acesso à Internet via NAT Gateway

VPC subnet VPC subnet

0.0

.0.0

/0

0.0.0.0/0

Public IP

NAT Gateway

Conectando à outras VPC:

VPC Peering

Serviços compartilhados: Utilizando VPC

peering

Serviços comuns/core

• Autenticação/Diretório;

• Monitoramento;

• Logging;

• Administração remota;

• Scanning

Estabelecendo VPC Peering: Solicitação

172.31.0.0/16 10.55.0.0/16

Step 1

Iniciar a solicitação de peering

Estabelecendo VPC Peering: Solicitação

Estabelecendo VPC Peering: Aceitar solicitação

172.31.0.0/16 10.55.0.0/16

Step 1

Iniciar solicitação de peering

Step 2

Accept peering request

Estabelecendo VPC Peering: Aceitando

Estabelecendo VPC Peering: Criando rotas

172.31.0.0/16 10.55.0.0/16Step 1

Initiate peering request

Step 2

Accept peering request

Step 3

Create routes

Trafego destinado para VPC peered irá

para o elementento de peering

Conectando sua rede:

Virtual Private Network &

Direct Connect

Conectando sua rede com VPN/Direct Conenct

VPN

Direct Connect

AWS VPN

• Rotas estáticas ou dinâmicas (BGP);

• Conexões iniciadas pelo Customer Gateway (definição

do appliance do cliente);

• IPSec Security Associations em modo de túnel;

• Sempre é disponibilizado 2 Ips para conexão (HA);

• Conectividade feita pela Internet;

• Baixo custo de serviço;

VPN: O que você precisa saber

Customer

Gateway

Virtual

Gateway

Dois tuneis IPSec

192.168.0.0/16 172.31.0.0/16

192.168/16

Seu device de rede

Rotas para o Virtual Private Gateway

Trafego para rede 192.168.0.0/16 irá

pelo túnel

• Conexão dedicada e privada com a AWS;

• Cobrança reduzida de data-out (data-in continua

gratuito);

• Performance consistente;

• Pelo menos 1 ponto de conexão por região;

• Opção para conexões redundantes;

• Múltiplas contas AWS podem compartilhar a conexão;

• Portas de conexões de 50M a 10G;

• 50-500M feita com parceiro;

• 1G e 10G direto com a AWS;

AWS Direct Connect

AWS Direct Connect - LocaisAWS Region AWS Direct Connect (Locais)

Asia Pacific (Singapore) Equinix SG2

Asia Pacific (Sydney) Equinix SY3

Asia Pacific (Sydney) Global Switch

Asia Pacific (Tokyo) Equinix OS1

Asia Pacific (Tokyo) Equinix TY2

China (Beijing) Sinnet JiuXianqiao IDC

China (Beijing) CIDS Jiachuang IDC

EU (Frankfurt) Equinix FR5

EU (Frankfurt) Interxion Frankfurt

EU (Ireland) Eircom Clonshaugh

EU (Ireland) TelecityGroup, London Docklands'

South America (São Paulo) Terremark NAP do Brasil

South America (São Paulo) Tivit

US East (Virginia) CoreSite NY1 & NY2

US East (Virginia) Equinix DC1 - DC6 & DC10

US West (Northern California) CoreSite One Wilshire & 900 North Alameda, CA

US West (Northern California) Equinix SV1 & SV5

US West (Oregon) Equinix SE2 & SE3

US West (Oregon) Switch SUPERNAP, Las Vegas

AWS VPN

• Serviço em HA;

• Dois túneis para conexão;

• Rotas estáticas ou dinâmicas (BGP);

• Conexão segura e direta com a AWS;

• Conexões iniciadas pelo Customer Gateway;

• IPSec Security Associations em modo de túnel;

• Redundância de Direct Connect;

VPN vs DirectConnect

• Ambos permitem conexão segura entre sua

rede e VPC;

• VPN é um par de túnel IPSec que trafegará

na Internet;

• DirectConnect é conexão dedicada e

latência controlada;

• Para workloads de alta disponibilidade:

Utilizar ambos (failover);

DNS dentro da VPC

VPC DNS Options

Utilizar Amazon DNS server

Possui EC2 auto-assign DNS

hostnames para instâncias

EC2 DNS Hostnames na VPC

Internal DNS hostname:

Resolve nome para IP Privado

External DNS name: Resolve para…

EC2 DNS Hostnames fora da VPC

C:\>nslookup ec2-52-18-10-57.eu-west-1.compute.amazonaws.com

Non-authoritative answer:

Name: ec2-52-18-10-57.eu-west-1.compute.amazonaws.com

Address: 52.18.10.57

Fora da sua VPC:

IP público

EC2 DNS Hostnames dentro da VPC

[ec2-user@ip-172-31-0-201 ~]$ dig ec2-52-18-10-57.eu-west-1.compute.amazonaws.com

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> ec2-52-18-10-57.eu-west-1.compute.amazonaws.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36622

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:

;ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. IN A

;; ANSWER SECTION:

ec2-52-18-10-57.eu-west-1.compute.amazonaws.com. 60 IN A 172.31.0.137

;; Query time: 2 msec

;; SERVER: 172.31.0.2#53(172.31.0.2)

;; WHEN: Wed Sep 9 22:32:56 2015

;; MSG SIZE rcvd: 81

Dentro da sua VPC:

IP Privado

Route53 Private Hosted Zones

• Controla resolução de nomes para domínio e

subdominios;

• Entradas de DNS tem validade somente dentro

de uma VPC específica;

• Pode ser utilizado para sobrepor DNS externo.

Criando zona privada no Route53

Private Hosted Zone

Associando com

uma ou mais VPCs

Criando uma entrada de DNS Route53

Private Hosted

Zoneexample.demohostedzone.org

172.31.0.99

Querying Private Hosted Zone Records

https://aws.amazon.com/amazon-linux-ami/2015.03-release-notes/

[ec2-user@ip-172-31-0-201 ~]$ dig example.demohostedzone.org

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1 <<>> example.demohostedzone.org

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26694

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:

;example.demohostedzone.org. IN A

;; ANSWER SECTION:

example.demohostedzone.org. 60 IN A 172.31.0.99

;; Query time: 2 msec

;; SERVER: 172.31.0.2#53(172.31.0.2)

;; WHEN: Wed Sep 9 00:13:33 2015

;; MSG SIZE rcvd: 60

VPC Flow Logs: Analise seu tráfego

Visibilidade da aplicabilidade

do Security Group;

Fazer troubleshooting de

conectividade de rede;

Possibilidade de analizar

tráfego.

AWS VPC Endpoints: S3 sem Internet

Gateway

Recapitulando

Recapitulando

• VPC;

• Subnets Públicas vs Subnets Privadas;

• Tabelas de Rota;

• VPC VPN vs Direct Connect;

• Endpoints na rede privada.

Obrigado!

Cláudio Freire Júnior – freirec@amazon.com